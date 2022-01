Betrug mit Impfpässen – «Hey, das Zeugnis ist fertig» – in 30 Minuten zum falschen Covid-Zertifikat Fälscher erstellen derzeit massenweise Covid-Zertifikate. Das Betrügernetzwerk ist länderübergreifend. Wie geht es vor? Ein Selbsttest und Angaben von Ermittlern geben Einblick. Catherine Boss Svenson Cornehls

Der Dealer wird ungeduldig. Er will eine Anzahlung für das falsche Zertifikat. Screenshot: TA

«Bist du Schweizer oder Deutscher?» Mehr will er zunächst nicht wissen. Und schreibt: «Das Zertifikat kostet 300 € und ist 2 Stunden nach der Zahlung des Kunden verfügbar.» Na gut. Wir geben ihm einen Vor- und Nachnamen sowie ein Geburtsdatum durch, und schon sind wir im Geschäft. Er will eine Anzahlung von 50 Euro, dann liefere er einen Beweis für das gewünschte Zertifikat, schreibt er.

Er ist schnell: Während andere Anbieter bis zu fünf Arbeitstage benötigen, dauert es bei ihm maximal eine Stunde. Sein Angebot wird seit Wochen in einem Kanal mit zeitweise fast 8000 Abonnenten gehypt. Von ihm gepostete Chatverläufe von angeblichen Käufern versprechen «zufriedene Kunden». Wie er denn an so einen Code gelange, wollen wir wissen. «Ich werde dir keine weiteren Informationen geben», schnauzt er zurück.

Betrug verblüffend einfach

Und fragt dann genervt: «Bist du fertig??» – «Hast du die Zahlung schon abgeschlossen?» Die Skepsis wächst: «Lassen wir uns gerade übers Ohr hauen?», fragen wir uns. Schliesslich bezahlen wir die 50 Euro Anzahlung. Nach 25 Minuten meldet er sich wieder, freundlicher diesmal. «Hey, das Zeugnis ist fertig», schreibt er und liefert sogleich den Beweis. In einem kurzen Video filmt der Verkäufer, wie er mit einem QR-Code unser Zertifikat erstellt.

Das reicht uns: Wir scannen aus dem Film den Code ab – und siehe da: Er funktioniert. Es ist zwar ein französisches Zertifikat, aber die Check-App meldet: «Prüfung erfolgreich.» Alle Angaben sind drin: Zwei von zwei Impfdosen soll unsere Versuchsperson erhalten haben, gültig ist das Zertifikat bis zum 22. Dezember dieses Jahres.

Nach nur 30 Minuten liefert der Dealer ein französisches Covid-Zertifikat, das in der Schweiz gültig ist. Foto: TA

Alles ging sehr schnell, es macht den Anschein, als liefere der Verkäufer Zertifikate in Massenproduktion. Eher nicht von einem Impfzentrum aus, wo er Gefahr laufen würde, beobachtet zu werden. Sondern von zu Hause oder einem Büro aus, wo er ungestört die QR-Codes verschicken und das Geld kassieren kann. Aber wie macht er das?

In praktisch allen Kantonen laufen derzeit Strafuntersuchungen, weil falsche Zertifikate aufgetaucht sind. Geschätzt sind derzeit Zehntausende im Umlauf. Allein im Kanton St. Gallen sind 8000 Zertifikate annulliert worden. Aber auch in Bern, im Aargau oder in Zürich laufen Ermittlungen.

«Mehrere Leute können parallel mit dem gleichen Log-in die QR-Codes für die Zertifikate herstellen.» Ermittler, der Fälle von falschen Covid-Zertifikaten untersucht

Recherchen zeigen: Es gibt in der Schweiz rund 11’000 Personen, die autorisierten Zugang zur Datenbank haben, mit der sie gültige QR-Codes erstellen können. Es sind Angestellte von Impf- oder Testzentren. Aber auch Apothekerinnen oder Ärzte. Und einige von ihnen haben laut Informationen aus Ermittlerkreisen offenbar ihre Zugangsdaten an Betrüger weitergegeben, wohl gegen Geld.

Damit ist der Betrug verblüffend einfach. Die Händler machen sich zunutze, dass man mit einem Log-in gleichzeitig von verschiedenen Computern zugreifen kann, um Zertifikate zu erstellen. Ein Komplize, zum Beispiel in einem Test- oder Impfzentrum, der autorisierten Zugang zur Plattform des Bundes hat, muss dem Händler bloss beim Einloggen den Code nennen, der wegen der Zweiwegidentifizierung verlangt wird.

Über die Grenzen vernetzt

«Mehrere Leute können parallel mit dem gleichen Log-in die QR-Codes für die Zertifikate herstellen», bestätigt ein kantonaler Ermittler, der anonym bleiben will. «Nur deshalb ist der Betrug in diesem grossen Umfang, wie wir ihn jetzt sehen, überhaupt möglich.»

Und weil die Zertifikate europaweit gültig sind, ist der Betrug auch länderübergreifend möglich. So kann unser Verkäufer QR-Codes für französische Zertifikate an Schweizer Kundinnen und Kunden verkaufen. Offenbar hat er einen Komplizen in Frankreich.

Das Bundesamt für Telekommunikation und Informatik (BIT), das die IT-Lösung für das Zertifikat erstellt hat, sagt: «Wichtig ist die Unterscheidung zwischen gefälschten und missbräuchlich ausgestellten Zertifikaten. Das Covid-Zertifikat ist technisch fälschungssicher.» Bei den in der Schweiz bekannt gewordenen Fällen handle es sich um missbräuchlich ausgestellte Zertifikate, also um kriminelle Handlungen von einzelnen Personen. Das BIT bestätigt aber, dass man sich mit den Zugangsdaten an mehr als einem Computer einloggen könne.

Neujahrsparty am 1. Januar 2022 im Nachtclub: Wegen falscher Covid-Zertifikate sind Zehntausende Leute unterwegs, die nicht geimpft sind. Foto: Michael Buholzer (Keystone)

Diese Sicherheitslücke wird nun zum grossen Problem. Bei unserem Selbsttest stossen wir auf dem Messenger-Dienst Telegram in kurzer Zeit auf viele Anbieter. Sie werden in seriös klingenden Kanälen wie etwa «Covidzertifikat Schweiz» beworben. «Finde deine Freiheit überall in der Schweiz und anderswo wieder», verspricht der eine. «100 Prozent sicher und weltweit gültig» ein anderer. Die 2-G-Zugangsregeln in vielen Bereichen des öffentlichen Lebens kurbeln das Geschäft anscheinend so richtig an.

Die Preise pro Zertifikat reichen von 150 bis 700 Franken, bezahlt wird meist mit Bitcoins. Mengenrabatt gibts ab drei Zertifikaten. Unser Verkäufer zählt mit dem Preis von 300 Euro zu den günstigeren. Dafür lässt sich bei ihm weder Impfstoff noch Impfdatum auswählen wie bei vielen anderen Fälschern.

Es droht Gefängnisstrafe

Wenige Minuten, nachdem er uns den Videobeweis geliefert hat, meldet er sich wieder. «Schliesse die Zahlung ab und ich schicke dir dein Zertifikat zu.» Sechs Minuten später: «Beendet die Zahlung!», drängt er mehrmals. Er will seine restlichen 250 Euro, um uns das Zertifikat per PDF zuzustellen. Doch den Beweis, dass er den QR-Code erstellen kann, hat er mit dem Video bereits erbracht. Wir verzichten.

Wer ein falsches Zertifikat ausstellt, begeht mutmasslich eine Urkundenfälschung, sagt Michel-André Fels, Generalstaatsanwalt des Kantons Bern und Präsident der Schweizerischen Staatsanwältekonferenz (SSK). «Bei dieser Straftat drohen bis zu fünf Jahre Freiheitsstrafe oder eine Geldstrafe. Um einen leichten Fall dürfte es sich wohl kaum handeln», sagt er.

«Durch solches Verhalten wird in Kauf genommen, dass andere Menschen schwer erkranken.» Michel-André Fels, Generalstaatsanwalt des Kantons Bern

Es sei besonders jetzt, da die Ansteckungszahlen und die Verunsicherung in der Bevölkerung so hoch seien, zusätzlich verwerflich, dass Hersteller und Vertreiber von falschen Zertifikaten aus der Krise noch Kapital schlagen würden. «Durch solches Verhalten wird in Kauf genommen, dass andere Menschen schwer erkranken», sagt Fels. Er ärgert sich auch über die Kundinnen und Kunden dieser Händler: «Setzt man sich mit einem falschen Zertifikat in ein Lokal, heisst das, dass man nur seine rechtswidrig erlangten Vorteile sieht und einen die Gesundheit der anderen schlicht nicht kümmert. Denn wer ein falsches Zertifikat hat, lässt sich auch nicht testen», so der Berner Chefermittler.

Die Kantonalen Staatsanwaltschaften verstärken nun ihren Kampf gegen die Betrüger und koordinieren sich. «Damit nicht zwei Strafverfolger demselben Aussteller von falschen Zertifikaten hinterhergehen», sagt Philipp Umbricht, Leitender Oberstaatsanwalt im Kanton Aargau. «Die Anbieter auf Kanälen wie Telegram sind nicht einfach zu eruieren», sagt er. «Aber wenn wir ein falsches Zertifikat haben, können wir feststellen, mit welchem Log-in es erstellt wurde.» Hinweise auf verdächtige Personen kämen teils vom Contact-Tracing, erzählen Ermittler.

Auch beim Bund wird die Koordination verstärkt: «Das BIT hat verschiedene Prüfregeln im System integriert, die Auffälligkeiten erkennen», heisst es auf Anfrage. Aktuell seien die Kantone und der Bund daran, den Austausch solcher Monitoringdaten zu intensivieren.

Ein Dealer macht klar, dass er genug Kundschaft hat – und locker 700 Euro für ein falsches Zertifikat verlangen kann. Screenshot: TA

Inzwischen sind wir mit weiteren Dealern in Kontakt. «Bei uns wird nicht verhandelt – haben es auch nicht nötig», raunzt einer, der 700 Euro will. Warum nicht nötig, fragen wir? Antwort: «Weil wir genug Kunden haben und täglich Arbeit.» Bei einem anderen wollen wir wissen, ob er auch französische Zertifikate liefert. «Nein. Ist in Bern ausgestellt. Wie einigen wir uns?», feilscht der Telegram-User sogleich. Er arbeite mit einer Berner Apotheke zusammen, schreibt er. Diese würde den QR-Code erstellen. Diese Behauptung ist höchst fragwürdig, überprüfen können wir sie nicht. Die 150 Euro für den Code möchte er via Onlinebanking überwiesen haben. Wir einigen uns, um anonym zu bleiben, auf Bitcoins. Danach herrscht Funkstille. Der Verkäufer ist abgetaucht.

Catherine Boss ist Co-Leiterin des Recherchedesk, Schwerpunkt ihrer Berichterstattung sind Medizin-, Wirtschafts- und Justizthemen sowie weitere investigative Recherchen. Sie hat mit Kollegen einen Swiss Press Award und zweimal den Zürcher Journalistenpreis erhalten. Mehr Infos Svenson Cornehls ist Datenjournalist im Recherchedesk von Tamedia. Nach der Ausbildung zum Informatiker studierte er Politikwissenschaften in Zürich. Seit 2019 findet er mit politischen Datenanalysen und computergestützten Recherchen Zusammenhänge in Daten. Mehr Infos

